Microsoft Entra-rollen toewijzen aan groepen

Als u het rolbeheer wilt vereenvoudigen, kunt u Microsoft Entra-rollen toewijzen aan een groep in plaats van personen. In dit artikel wordt beschreven hoe u Microsoft Entra-rollen toewijst aan rollentoewijsbare groepen met behulp van het Microsoft Entra-beheercentrum, PowerShell of Microsoft Graph API.

Vereisten

• Microsoft Entra ID P1-licentie
• Bevoorrechte rol Beheer istratorrol
• Microsoft.Graph-module bij gebruik van Microsoft Graph PowerShell
• Azure AD PowerShell-module bij het gebruik van Azure AD PowerShell
• U geeft beheerderstoestemming bij het gebruik van Graph Explorer voor de Microsoft Graph API

Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Microsoft Entra-beheercentrum

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Het toewijzen van een Microsoft Entra-rol aan een groep is vergelijkbaar met het toewijzen van gebruikers en service-principals, behalve dat alleen groepen die rollen kunnen worden toegewezen, kunnen worden gebruikt.

Tip

Deze stappen zijn van toepassing op klanten met een Microsoft Entra ID P1-licentie. Als u een Microsoft Entra ID P2-licentie in uw tenant hebt, moet u in plaats daarvan de stappen volgen in Microsoft Entra-rollen toewijzen in Privileged Identity Management.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.

2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

   

3. Selecteer de naam van de rol om de rol te openen. Voeg geen vinkje toe naast de rol.

   

4. Selecteer Toewijzingen toevoegen.

   Als u iets anders ziet dan de volgende schermafbeelding, hebt u mogelijk Microsoft Entra ID P2. Zie Microsoft Entra-rollen toewijzen in Privileged Identity Management voor meer informatie.

   

5. Selecteer de groep die u aan deze rol wilt toewijzen. Alleen groepen waaraan rollen kunnen worden toegewezen, worden weergegeven.

   Als de groep niet wordt vermeld, moet u een roltoewijzingsgroep maken. Zie Een roltoewijzingsgroep maken in Microsoft Entra-id voor meer informatie.

6. Selecteer Toevoegen om de rol toe te wijzen aan de groep.

Powershell

Microsoft Graph PowerShell

Een roltoewijzbare groep maken

Gebruik de opdracht New-MgGroup om een roltoewijzingsgroep te maken.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

De roldefinitie ophalen die u wilt toewijzen

Gebruik de opdracht Get-MgRoleManagementDirectoryRoleDefinition om een roldefinitie op te halen.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Een roltoewijzing maken

Gebruik de opdracht New-MgRoleManagementDirectoryRoleAssignment om de rol toe te wijzen.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

PowerShell voor Azure AD

Notitie

Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.

Een roltoewijzbare groep maken

Gebruik de opdracht New-AzureADMSGroup om een roltoewijsbare groep te maken.

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

De roldefinitie ophalen die u wilt toewijzen

Gebruik de opdracht Get-AzureADMSRoleDefinition om een roldefinitie op te halen.

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

Een roltoewijzing maken

Gebruik de opdracht New-AzureADMSRoleAssignment om de rol toe te wijzen.

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

Microsoft Graph API

Een roltoewijzbare groep maken

Gebruik de GROEPS-API maken om een roltoewijzingsgroep te maken.

Aanvragen

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Response

HTTP/1.1 201 Created

De roldefinitie ophalen die u wilt toewijzen

Gebruik de List unifiedRoleDefinitions-API om een roldefinitie op te halen.

Aanvragen

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

De roltoewijzing maken

Gebruik de API Create unifiedRoleAssignment om de rol toe te wijzen.

Aanvragen

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Response

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Volgende stappen

• Microsoft Entra-groepen gebruiken om roltoewijzingen te beheren
• Problemen met Microsoft Entra-rollen oplossen die zijn toegewezen aan groepen